«Порты для Microsoft Exchange — это не просто набор цифр в таблице. Это детальная карта доверия, которая определяет, кто может подключиться к вашей корпоративной почте и что он сможет сделать. Ошибка в этой карте — прямой путь к утечке писем или полному контролю над сервером.»
Сетевые порты Microsoft Exchange Server
Правильная настройка сетевых портов для Exchange Server — это фундамент его безопасности. Открытый лишний порт или неправильно сконфигурированный существующий создаёт брешь, которой рано или поздно воспользуются.
Порты для клиентского доступа
Эти порты — главные ворота для пользователей. Через них подключаются Outlook, веб-браузеры (OWA), мобильные приложения. Разрешать доступ из интернета нужно только к защищённым портам, иначе логины, пароли и содержимое писем будут передаваться в открытом виде.
| Порт | Протокол | Назначение | Ключевые моменты |
|---|---|---|---|
| 443 | HTTPS | Основной безопасный доступ | Обслуживает OWA, ActiveSync, Autodiscover, ECP. Должен быть единственным открытым портом для веб-доступа извне. |
| 80 | HTTP | Незащищённый веб-доступ | Используется для автоматического перенаправления на HTTPS. На периметре его лучше закрыть, оставив только для внутреннего редиректа. |
| 993 | IMAPS | Защищённый IMAP | Стандартный порт для IMAP с TLS. Если нужен IMAP — используйте только этот порт. |
| 995 | POP3S | Защищённый POP3 | Аналогично — единственный безопасный вариант для устаревшего протокола POP3. |
| 143, 110 | IMAP4, POP3 | Незащищённые версии | Должны быть заблокированы на брандмауэре. Их наличие — признак устаревшей или небрежной конфигурации. |
Порты для передачи почты (SMTP)
Здесь важно разделять потоки: приём почты от других серверов и отправка от ваших пользователей. Смешение этих функций на одном порте усложняет безопасную настройку аутентификации и контроля.
| Порт | Протокол | Назначение | Ключевые моменты |
|---|---|---|---|
| 25 | SMTP | Межсерверный обмен | Основной порт для приёма почты из интернета и отправки во внешние домены. Аутентификация обычно отключена. Часто является целью для атак на ретрансляцию. |
| 587 | SMTP | Отправка от клиентов (Submission) | Порт, на котором обязательна аутентификация пользователя. Письма, пришедшие на этот порт, помечаются как «отправленные пользователем». Должен работать с обязательным шифрованием STARTTLS. |
| 465 | SMTPS | Устаревший защищённый SMTP | Исторический порт для SMTP поверх SSL. Не является современным стандартом, но может использоваться некоторыми устаревшими клиентами. В новых развёртываниях лучше полагаться на порт 587 с STARTTLS. |
Порты для внутренних коммуникаций и администрирования
Эти порты никогда не должны быть доступны из интернета. Их зона действия — доверенная внутренняя сеть. Попадание RPC-портов во внешний доступ — это почти гарантированный компромисс сервера.
| Порт / Диапазон | Протокол / Служба | Назначение |
|---|---|---|
| 135 | RPC Endpoint Mapper | Ключевая служба для установления RPC-соединений. Открытый порт 135 позволяет злоумышленнику узнать, какие другие RPC-службы (и на каких портах) доступны. |
| 6001-6004 | Динамические RPC-порты | Используются для клиентских подключений MAPI/RPC в устаревших конфигурациях. Диапазон может быть изменён. Полная блокировка RPC извне критична. |
| 5986 | WinRM HTTPS | Основной порт для удалённого администрирования через PowerShell (PowerShell Remoting). Вся коммуникация шифруется. |
| 5985 | WinRM HTTP | Незащищённая версия для PowerShell Remoting. Допустима только во внутренней сети при строгом контроле сегментации. |
| 64327, 64328 | Репликация DAG | Используются для непрерывной репликации баз данных между серверами в группе доступности. Трафик интенсивный и нешифрованный, поэтому требует выделенного защищённого канала. |
Интеграция с Active Directory
Exchange не работает без Active Directory. Запросы на аутентификацию, поиск в глобальном списке адресов, чтение конфигурации — всё это идёт через порты LDAP.
| Порт | Протокол | Назначение |
|---|---|---|
| 389 | LDAP | Незашифрованные запросы к контроллеру домена. Во внутренней сети это норма, но трафик может быть перехвачен. |
| 636 | LDAPS | Защищённый LDAP. Рекомендуется для всех соединений, где возможна настройка, особенно если трафик проходит через ненадёжные сегменты сети. |
Практика: что закрывать в первую очередь
Настройка брандмауэра — это не только разрешение нужного, но и явный запрет ненужного. Вот примеры правил для Windows Firewall через PowerShell, которые стоит рассмотреть.
- Блокировка незащищённых клиентских протоколов из интернета:
New-NetFirewallRule -DisplayName "Block Insecure Client Ports" -Direction Inbound -LocalPort 80,110,143 -Protocol TCP -Action Block -RemoteAddress Internet - Ограничение внутренних RPC-портов только доверенной подсетью:
New-NetFirewallRule -DisplayName "Allow RPC from Admin VLAN Only" -Direction Inbound -LocalPort 135,6001-6004 -Protocol TCP -Action Allow -RemoteAddress 10.0.10.0/24
После создания этого разрешающего правила необходимо убедиться, что для этих портов существует и применяется более общее блокирующее правило.
Конфигурация портов — не разовая задача. При обновлении Exchange, изменении топологии или внедрении новых клиентских приложений эту карту доверия нужно пересматривать. Минимально необходимый набор открытых портов и строгая сегментация доступа — базис, на котором строится безопасная работа почтовой системы.